Vad det är
NIS2 (direktiv EU 2022/2555) är EU:s uppdaterade direktiv för cybersäkerhet i samhällsviktig och digital infrastruktur. Det ersätter det ursprungliga NIS-direktivet från 2016 och innebär en betydande utvidgning av både tillämpningsområdet och kraven. Till skillnad från AI Act är NIS2 ett direktiv, inte en förordning, vilket innebär att det måste implementeras i nationell lagstiftning av varje medlemsstat. Direktivet är relativt harmoniserat, men viss variation i tillämpning förekommer mellan länder.
Grundlogiken är att organisationer som driver samhällsviktig eller digital infrastruktur ska ha ett systematiskt förhållningssätt till riskhantering och cybersäkerhet, och att allvarliga incidenter ska rapporteras till behörig myndighet inom fastställda tidsramar.
Ikraftträdande och status
Direktivet trädde i kraft i januari 2023 med krav på medlemsstatlig implementering senast oktober 2024. Implementeringen har gått olika snabbt i olika länder. Sverige var försenat och arbetet med nationell lagstiftning har pågått under 2025 och 2026. Exakt ikraftträdande och tillsynsstruktur bör verifieras mot aktuella källor innan beslut fattas.
Vem berörs
NIS2 utvidgar kretsen av skyldiga organisationer väsentligt jämfört med det ursprungliga direktivet. Organisationer delas in i två kategorier med något olika kravnivåer.
Väsentliga entiteter omfattar sektorer som energi, transport, bankväsende, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur samt delar av offentlig förvaltning. Hit räknas även centrala digitala tjänsteleverantörer som DNS-tjänster, toppdomänregister och molntjänster. Viktiga entiteter omfattar ytterligare sektorer som post- och budtjänster, avfallshantering, kemikalier, livsmedel och tillverkning av kritiska produkter, samt vissa digitala tjänster.
Storleksgränsen är i huvudsak medelstora och stora företag, men även mindre organisationer kan omfattas om de är kritiska för sin sektor. Det är organisationens funktion och betydelse som är avgörande, inte enbart dess storlek.
Krav på riskhantering och säkerhetsåtgärder
Direktivet ställer krav på ett systematiskt säkerhetsarbete enligt artikel 21, som omfattar riskanalyser och säkerhetspolicyer, åtgärder för att hantera incidenter, kontinuitetsplanering och krishantering, säkerhet i leverantörskedjor, säker systemutveckling och anskaffning, kryptering och åtkomstkontroll samt utbildning och säkerhetsmedvetenhet inom organisationen.
Ledningsansvar är en central nyhet i NIS2. Ledningsorgan kan hållas ansvariga och bli föremål för sanktioner vid bristande efterlevnad, och det ställs krav på att ledningen genomgår utbildning i cybersäkerhet.
Incidentrapportering
NIS2 inför ett trestegssystem för rapportering av allvarliga incidenter. Inom 24 timmar ska en tidig varning lämnas till behörig myndighet. Inom 72 timmar ska en mer detaljerad incidentanmälan lämnas. Inom approximately en månad ska en fullständig rapport med grundorsaksanalys och vidtagna åtgärder inlämnas, även om den exakta tidsfristen kan variera beroende på omständigheterna.
Koppling till andra regelverk
NIS2 interagerar med flera andra regelverk på sätt som är viktiga att förstå i praktiken. AI-system som används i samhällsviktig infrastruktur omfattas parallellt av AI Act, och de tekniska säkerhetskraven i NIS2 kan behöva vägas mot AI Acts krav på transparens och mänsklig tillsyn. GDPR är parallellt tillämplig när incidenter involverar personuppgifter, och en säkerhetsincident kan utlösa rapporteringsskyldigheter under båda regelverken samtidigt, med delvis överlappande men inte identiska tidsramar. DORA, den sektorsspecifika förordningen för finanssektorn, gäller parallellt med NIS2 för finansiella entiteter och är i vissa delar mer specifik.
Tillsyn och sanktioner
Tillsynen utövas av sektorsansvariga myndigheter med samordning på nationell nivå. I Sverige är den exakta tillsynsstrukturen fortfarande under fastställande i takt med att den nationella implementeringen slutförs. Sanktionerna skiljer sig åt mellan kategorierna. Väsentliga entiteter kan få böter på upp till 10 miljoner euro eller 2 procent av global årsomsättning. Viktiga entiteter kan få böter på upp till 7 miljoner euro eller 1,4 procent av global årsomsättning.
Primärkällor
Direktivtexten finns på EUR-Lex: EU 2022/2555. ENISA publicerar vägledningar och tekniska riktlinjer på enisa.europa.eu. För svensk tillämpning är MSB på msb.se en central utgångspunkt, kompletterat av relevant sektorsmyndighet beroende på verksamhet.